我们最近在 GPO 中启用了审核,当非管理员级别的用户登录时,会出现“安全日志已满”的错误。为了暂时解决这个问题,我必须将 AD 用户添加为本地管理员,这样安全日志就可以被覆盖。保持审核开启的最佳做法是什么,而不必为每个用户授予本地管理员权限?这些是 WinXP 客户端,带有 Win2k8 服务器。
答案1
使用 GPO 调整事件日志设置以适应您的环境。例如,您可以更改最大大小、定义保留方法并更改“包装”类型,以便系统根据需要自动覆盖事件。
它们位于Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Event Log。
